Was macht die Polizei bei der sogenannten „automatisierten Datenanalyse“?
Erinnert man sich an die Welt völlig ohne elektronische polizeiliche Datenbanken, so stellt man schnell ihren Nutzen fest. Früher waren wegen einer Straftat Verurteilte bereits in der nächsten Stadt ein unbeschriebenes Blatt; das machte es für die Ordnungskräfte sehr schwer, weitere Straftaten zu verhindern.
Erst die Einführung von zunehmend elektronischen Registern hat es den Behörden ermöglicht, anhand bestehender Erkenntnisse Personen angemessen gegenüberzutreten. Heutzutage kann beispielsweise binnen 10 Sekunden anhand des Kennzeichens überprüft werden, ob ein Fahrzeug zur Fahndung ausgeschrieben oder eine überprüfte Person etwa als gewalttätig oder ansteckend krank registriert ist bzw. gar per Haftbefehl gesucht wird.
Die neuartige automatisierte Datenanalyse oder auch „automatisierte Auswertung“ soll im Wesentlichen Erkenntnisse in verschiedenen Datenbanken miteinander verknüpfen. Die Polizeibehörden in Hessen und Nordrhein-Westfalen nutzen hierzu die Software eines US-amerikanischen Anbieters.
Die Analyse beschränkt sich dabei nicht auf polizeiliche Datenbanken. So hat die Polizei beispielsweise eine Serie von Geldautomatensprengungen aufgeklärt, indem die Software das Navigationsgerät eines Fluchtautos mit weiteren Taten in Verbindung gebracht hat. Außerdem ist es technisch auch möglich, Daten aus den sozialen Medien mit einzubeziehen.
Es geht also um Arbeitsschritte, die im Grundsatz auch händisch erledigt werden können; nur aufwändig und langwierig. Luca Lüneburg beschreibt es wie eine Pinnwand, auf der mit Bindfaden verschiedene Elemente zueinander in Beziehung gesetzt werden. Die automatisierte Datenanalyse verspricht hierbei eine neue digitale Effizienz. Auch werden alle verfügbaren Datenbanken miteinbezogen. Die Auswertung mittels diesem sogenannten „data mining“ kann damit öfter, schneller und tiefgehender durchgeführt werden.
Was hat das Bundesverfassungsgericht zur „automatisierten Datenanalyse“ entschieden?
Auf zwei Beschwerden hin hat das Gericht die Norm aus dem hessischen und hamburgischen Polizeirecht für verfassungswidrig erklärt. Die Vorschrift des hamburgischen Gesetzes über die Datenverarbeitung der Polizei ist damit nichtig. Die Hansestadt hat die Software indes auch noch nicht eingesetzt. Das Land Hessen hat bis Ende September eine Übergangsfrist, um die bestehende Regelung im hessischen Gesetz über die öffentliche Sicherheit und Ordnung nachzubessern.
Dabei hat das Bundesverfassungsgericht zwei Punkte bemängelt: Zum einen haben Hamburg und Hessen für den Einsatz der automatisierten Datenanalyse eine zu niedrige Schwelle vorgesehen. Zum anderen sind sie zu offen hinsichtlich der verwendeten Daten und des angewendeten Verfahrens gewesen. So haben die Regelungen nicht zwischen den Daten der Personen unterschieden, die Anlass zu einem Verdacht geben, und gänzlich Unbeteiligten.
Das ist ein unverhältnismäßiger Eingriff in das Grundrecht auf informationelle Selbstbestimmung gem. Artikel 2 Abs. 1 i.V.m. Artikel 1 Abs. 1 des Grundgesetzes. Wichtig dabei ist, dass auch das Bundesverfassungsgericht ein legitimes Ziel darin sieht, die Wirksamkeit der vorbeugenden Bekämpfung schwerer Straftaten gerade unter Zeitdruck zu steigern. Das Gericht schließt damit eine automatisierte Datenanalyse nicht per se aus; vielmehr hat es zu seinen zwei Kritikpunkten allgemeine Maßstäbe formuliert.
So fordert das Urteil für den Einsatz der automatisierten Datenanalyse eine konkretisierte Gefahr für besonders gewichtige Rechtsgüter. Das ist der Fall, wenn
tatsächliche Anhaltspunkte für die Entstehung einer konkreten Gefahr für ein Schutzgut wie etwa Leben oder körperliche Unversehrtheit bestehen.
Nach dem Urteil ist es allerdings auch zulässig, die verwendeten Datensätze und das Verfahren der automatisierten Datenanalyse enger zu reglementieren und deswegen herabgesetzte Eingriffsschwellen anzusetzen. Wenn etwa primär Orte und nicht Personen in den Fokus der Analyse geraten, senkt das die Schwere des Eingriffs. Umgekehrt sind Aussagen über die individuelle Gefährlichkeit einer Person besonders eingriffsintensiv.
An die Verwendung von Erkenntnissen aus Wohnraumüberwachung oder den Einsatz verdeckt ermittelnder Personen ist aber grundsätzlich die gleiche Hürde zu stellen wie für den Eingriff an sich. Auch hinsichtlich des Verfahrens hat das Gericht Anforderungen gestellt. So müssen technische und organisatorische Maßnahmen für Transparenz, individuellen Rechtsschutz und eine unabhängige Kontrolle sorgen.
Darunter fällt, dass etwa nur besonders qualifizierte Mitarbeiter*innen die Software einsetzen dürfen. Die Datenschutzbeauftragten der Bundesländer sieht das Gericht als geeignete unabhängige Kontrollstelle. Weiterhin fordert das Urteil schützende Regelungen gegen die Gefahren von künstlicher Intelligenz. Der Staat muss stets die Kontrolle über seine eingesetzte Software haben.
Besonders schwer wiegt der Eingriff in das Grundrecht auf informationelle Selbstbestimmung, wenn Daten von Unbeteiligten erfasst werden. Dem muss etwa durch Maßnahmen wie Kennzeichnung verschiedener Datenkategorien oder unterschiedlicher Zugriffsrechte begegnet werden.
VIDEOREIHE „FOFFTEIN“
Mit der Videoreihe „Fofftein“ möchten wir juristische Themen von gesellschaftlicher Relevanz für die interessierte, aber juristisch nicht vorgebildete Öffentlichkeit erklären und einordnen. Hierzu werden Mitglieder der Fakultät, Alumnae oder Alumni als Expert*innen eingeladen. In 5-10 Minuten – eben einer kurzen Kaffeepause – führen wir in die Thematik, beteiligte Akteure und die Umstände ein und erklären die Grundsätze des behandelten rechtlichen Themas.
ZU ALLEN FOFFTEIN VIDEOS
Was folgt daraus für die polizeiliche Arbeit und die aktuellen Polizeigesetze der Bundesländer?
Das Urteil hat weitreichende Folgen für viele Bundesländer. Die Anforderungen sind allgemeingültig und müssen in jedem Polizeigesetz umgesetzt werden, bevor die Behörden eine automatisierte Datenanalyse durchführen können. Den dringendsten Handlungsbedarf hat jetzt das Land Hessen; es nutzt die Software bereits und will das auch weiterhin tun.
Auch Nordrhein-Westfalen betreibt die automatisierte Datenanalyse. Die Rechtsgrundlage sieht hier etwas anders aus als in Hamburg oder Hessen. Ob sie rechtmäßig ist, bleibt abzuwarten – auch gegen die Normen des Polizeigesetzes in Nordrhein-Westfalen ist gerade eine Verfassungsbeschwerde anhängig.
Bayern hat vor kurzem einen Rahmenvertrag mit dem US-Unternehmen abgeschlossen, das die Software zur automatisierten Datenanalyse vertreibt. Damit kann sich jedes andere Bundesland ohne eigenes Vergabeverfahren auch die Software lizensieren. Das bayerische Innenministerium hat bereits angekündigt, einen Entwurf für eine verfassungsgemäße Rechtsgrundlage in den Landtag einzubringen. Luca Lüneburg geht also davon aus, dass die automatisierte Datenanalyse uns noch weiter beschäftigen wird!
